morro

So... hab folgendes noch herausgefunden das Problem tritt nur bei manchen rechnern auf und auch nur wenn ein neues Profil geschrieben wird, das vorhandene Profil funktioniert also da werden die GPOs angewendet u.a. KIX.

Hab noch verscheidene dinge probiert nichts hat zum Erfolg geführt leider...Bin am verzweifeln :) Jemand noch ne idee...

Wenn ich das KIX direkt an den Userhänge im Benutzeraccount funktioniert es, das noch so als anmerkung...

Danke vor ab

LG

verusch mal /db reset und lass %temp%\temp.sdb weg

So, hab jetzt folgendes probiert:

secedit /configure /db %temp%\temp.sdb /cfg “%systemroot%\security\templates\setup security.inf”

dieser Befehl bricht bei 4% ab Richtlinie 172/4025

Ein erweiterter Fehler ist aufgetreten. Der Auftrag wurde mit einem Fehler abgeschlossen.

----Verfügbare Anlagenmodule werden konfiguriert...

Konfiguration der Anlagenmodule wurde erfolgreich abgeschlossen.


----Konfigurationsmodul wird deinitialisiert...

an der stelle bleibt der dann hängen...

Jemand ne Idee :-)

Danke schonmal

LG

Moin,

leider hat es nicht geholfen. Ich hab mal versucht die Richtlinien komplett zurückzusetzen wie hier beschrieben http://www.mcseboard.de/windows-server-forum-78/man-lokale-richtlinie-koplett-zuruecksetzen-165598.html ...bricht aber mittendrin ab... Warum weiß ich leider nicht wollte es nochmalprobieren undmiri das Ereignislog nochmal ansehen.

Gruß

Hi,

nd willkommen am Board.

Wäre mir neu das man einen PC nicht in eine Arbeitsgruppe hängen könnte, auch wenn die Domäne nicht mehr vorhanden ist! Wie gehst du denn da vor? Was für ein Betriebssystem?

LG

Moin,

danke.

Und nein dauert mir nicht zu lange :-)

Deshalb nochmal recht herzlichen Dank Sunny.

LG

Keiner ne Idee für mich ? :-)

Guten Morgen zusammen,

hab leider derzeit das Problem, das wenn an Clients neue Userprofile eingerichtet werden das KIX nicht mehr startet. Gpresult und rsop zeigen zwar das die GPOs angewendet wurden, in wirklichkeit jedoch wurden Sie nicht angewendet! Ich muss dazu sagen das vorher auch mal ein Novellclient installiert war. Habe mal einwenig gegooglet und diesen Link gefunden Gruppenrichtlinien - Übersicht, FAQ und Tutorials. Meine Frage kann man diese Einstellungen auch vornehmen wenn man nur XP Clients und 2003 Server im Einsatz hat, also ist es generell best pratice diese Einstellungen? Dann würde ich diese nämlich umsetzen.

Vielen Dank vorab für eure Hilfe.

Viele Grüße

Morro

Moin,

wenn du mehrere DCs in der Umgebung hast musst du keinen DC klonen, du nimmst einfach einen neuen server, stufst den zum dc mit dcpromo und der rest wird repliziert, vorausgesetzt alles nötige ist installiert dns ad intergriert usw...

LG

Moin,

sorry jetzt für die Frage aber bist du wirklich zuständig für die Domäne bzw. für den DC? Es gibt nur 1 DC, keine Sicherung und du weißt nicht wo das Eventlog zu finden ist???

Tipp: Ich weiß ja nicht was alles dran hängt und wie kritisch deine Umgebung ist , aber sollte es doch wichtig sein dann hol dir ganz schnell einen externen Dienstleister ins Haus...

Gruß

Hi,

soweit ich weiß nutzt exchange WINS und Browse funktionen wie die netzwerkumgebung nutzt WINS...

Gruß

Moin,

man kann die Vererbung deaktivieren.

Gruß

Hi,

z.b. könnteste alle User makieren, rechte maustaste, eigenschaft und die Option User muss bei der nächsten Anmeldung Kennwort ändern...

LG

Doch dir blieb was anderes übrig, du hättest den dc noch demoten können!!! Stattdessen hast du jetzt evtl. deine AD "zerschossen" Und einen USN Rollback produziert, schlimmer kanns net kommen!

Du wirst jetzt wahrscheinlich den geimagten Server gewaltsam aus dem AD nehmen müssen.

Ich empfehle dir folgende Links durchzuarbeiten:

faq-o-matic.net Warum Images nicht als Datensicherung taugen

How to detect and recover from a USN rollback in Windows Server 2003

faq-o-matic.net Wie sichere ich das AD?

http://www.faq-o-matic.net/2003/01/19/wie-kann-ich-active-directory-von-einem-dc-gewaltsam-entfernen/

Hi,

nach dem ich deine Überschrift gelesen habe, hab ich nur gedacht oh nein bitte nicht... Also wenn ich das richtig verstanden habe hast du ein DC geklont und zurückgespielt, obwohl du noch andere DCs im Einsatz hast??? ISt das korrekt?

LG

Hi,

könntest die mac adressen auslesen an den ports!

LG

Wernn du 2 DNS Server hast sollteste auch beide eintragen, wie schon oben geschrieben über kreuz!

Versuch deine DNS Einstellungen gekreuzt! Und du solltest trotzdem dein DNS suffix abändern, damit verrätst du sehr viel!!! Auch deinem Arbeitgeber, konkurrenten und wem auch immer!

Moin,

wie schon von Dukel gesagt gibt es PDC/BDC in dem Sinne garnicht. Es ist auch noch so problematisch wenn der DC mit den FSMOrollen ausfällt da du die immer nochnachträglich auf den anderen DC seizen kannst. Da ist jedoch aucheiniges zu beachten.

Zu dem Anderen PRoblem Stichwort DNS und Ereignislog.

Ich kann dir nur raten dich übers AD einwenig schlau zumachen. Sehr Gute Anlaufpunkte sind LDAP://Yusufs.Directory.Blog/ und faq-o-matic.net

LG

Von mir auch einen Herzlichen Glückwunsch an die Betreiber und an alle Mitglieder :-)

LG

Hi,

Verstehe nicht genau was das PRoblem ist???Hast du ein laufendes Routing??

Du solltest sowieso min 2 DNS Server eintragen, wenn du shcon 2 DCs hast

Gruß

Danke für die zusätzliche Info.

Gruß

Hi Nils,

nochmals vielen Dank für deine Mühe, echt klasse. Hab nochmal im Forum gescuht und folgendes Skript gefunden, welches jedoch für computer den haken setzt http://www.mcseboard.de/windows-server-forum-78/haken-berechtigungen-uebergeordneter-objekte-134562.html

Wollte mal versuchen es für User anzupassen und es in meiner Testumgebung genau zu testen.

LG

Hallo zusammen,

ich suche schon etwas länger werde aber leider nicht fündig. Wie kann man im AD auslesen welches objekt die Vererbung aktiviert oder deaktiviert hat?

Über Hilfe wäre ich sehr dankbar.

Problem ist nämlich dieses: http://www.mcseboard.de/active-directory-forum-79/probleme-vererbung-163788.html

Viele Grüße

Und lässt sich die Vererbung für die Objekte automatisiert aktivieren? Wahrscheinlich wenn dann nur mit einem Skript? Frage mich aber woran es liegt das es an manchen Objekten deaktiviert ist? Kann das evtl. von der NT Domäne noch kommen?

LG